|
索尼Damballa发现工具相关的恶意软件.灰鸽子下载,远程控制软件
方便的工具攻击者通过网络将未被发现
安全公司Damaballa表示,发现两个实用程序功能密切相关的破坏性的恶意软件,去年索尼影视娱乐。
Damballa正在调查的工具被发现的新版本“Destover”的恶意软件,使成千上万的电脑无法使用索尼后,攻击者窃取g的敏感的公司信息。
索尼突破关键问题之一是如何攻击者能够逃避安全系统。Damaballa发现两个实用程序帮助面具新文件介绍给一个系统。
“实用工具将使用在逃避攻击检测横向移动时通过网络扩大攻击表面,“写高级威胁人员威利斯麦当劳和Loucif Kharouni,周三在一篇博客文章中。
的一个工具,setMFT启用了一个叫做timestopping的技术,可以使一个文件似乎有不同的时间戳。通常用于结合重命名新引入的文件使它似乎融入一群其他文件。
“这可以从安全人员隐藏文件的存在寻找恶意文件或扫描的文件创建在一个特定日期之后,”他们写道。“Timestomping可以粗略的检查。”
afset,另一个工具是用于timestomping和清理日志数据存储在窗口。它还可以改变构建可执行的时间和校验和。
Afset”允许攻击者保持隐形,消除他们的跟踪移动通过网络,”他们写道。”一个完整的法医分析系统将揭示afset和失踪的存在日志活动,但这种活动很可能会发现最初创建高危感染住。”
公司很难探测入侵者的网络,特别是如果攻击者使用有效的从一个授权用户登录凭证被盗。
一次,使用这些实用程序可以使它更难发现奇怪的活动。一个杀毒软件检测的工具,研究人员写道。
这使得它有可能更新的版本不会被探测到,至少一开始不会 灰鸽子使用教程。
“这些功能一起使用时,工具,使攻击者获得网络凭据和禁用防御,允许他们渗透网络一段时间未被发现,”他们写道。 |
|